Трояны удаленного доступа (RAT) – что это такое?

Remote Access Trojan (RAT) или же троян удаленного доступа – это тип вредоносного программного обеспечения, позволяющий злоумышленнику получить контроль над компьютером жертвы. Получив доступ к зараженному компьютеру, автор трояна может изучать вашу файловую систему, просматривать ваши действия на экране, собирать ваши учетные данные для входа на различные ресурсы, просматривать входящий поток из веб-камеры, а также просто запустить процесс шифрования файлов с требованием выкупа.

По сути своей работы трояны удаленного доступа похожи на программное обеспечение для администраторов, обсуживающих компьютеры удаленно. Обычно используют такие программы как RAdmin, TeamViewer или VNC Viewer. Однако для использования официального ПО необходимо хотя бы раз побывать за компьютером пользователя. Либо же обладать правами на установку программного обеспечения по сети. Тот же TeamViewer при первом запуске выдает случайный пароль с уникальным ID, при этом пользователь всегда знает, что кто-то использует его персональный компьютер.

В отличии от официальных программ для удаленного доступа, трояны маскируются под обычные исполняемые файлы, которые обычно пользователь скачивает из сети Интернет. Получается, что в «полезную нагрузку» вместе с нужно программой идет еще и троян. Например, исследователи компании Malwarebytes обнаружили такую цепочку распространения вредоноса:

1. Изначально пользователь скачивает пиратскую версию средства виртуализации VMWare;
2. Во время установки подозрительное приложение связывается с сервисом PasteBin, откуда скачивает скрипт в текстовом формате и запускает его на компьютере жертвы;
3. Далее скрипт инициализирует подключение к серверу злоумышленника и скачивает файл Tempwinlogon.exe;
4. В свою очередь исполняемый файл exe устанавливает в операционную систему жертвы троян, известный под именем njRAT.